Aanvallers die de WantToCry-ransomware gebruiken, lijken slechts twee computers te gebruiken. Niets is minder waar: onderzoek wijst uit dat de VMmanager-tool voor hosting wordt ingezet vanuit legitieme leveranciers, maar door de cyberaanvallers. Meerdere cybercriminele groepen gebruiken deze vorm van camouflage, meldt het Counter Threat Unit Research Team van Sophos.
De twee hostnames, WIN-J9D866ESIJ2 en WIN-LIVFRVQFMKO, ogen hoogst gebruikelijk. Sophos-onderzoekers ontdekten dat ze het meest voorkomen in Rusland, maar daarna in respectievelijk Nederland en Duitsland. De providers zijn ‘bulletproof’, ofwel partijen die claims van illegale activiteiten op hun servers negeren en geen vragen stellen bij hun gebruikers over de doeleinden van hun IT-infrastructuur. Eén van de meest populaire is Zomro, een BV die een vestiging in Enschede lijkt te hebben maar op de eigen site enkel klantcontact levert in het Engels of Oekraïens. Verder is Stark Industries Solutions Limited een beruchte cloudspeler. Het ontstond twee weken voordat Rusland Oekraïne binnenviel in februari 2022. Sophos stipt aan dat First Server Limited eveneens links heeft met Russische staatshackers.
Volgens Aiden Sinnott, Principal Threat Researcher bij Sophos, kiezen cybercriminelen hierbij voor Europese hostinghubs in landen waar cybercriminele activiteit ogenschijnlijk niet meer voor de hand liggend is dan elders. Sinnott stelt dat Nederland en Duitsland met respectievelijk AMS-IX en DE-CIX broeinesten zijn voor criminele activiteit als belangrijke internetknooppunten.
Gratis proefversie
De twee populairste hostnames voor de online Windows-systemen gebruiken een versie van het OS dat 180 dagen lang gratis mag draaien. Ze maken volgens Sophos gebruik van VMmanager, een beheertool van het legitieme ISPsystem. Vier hostnames, inclusief de twee van WantToCry, zijn goed voor 95 procent van alle ISPsystem-vm’s. Sophos observeerde activiteit vanuit meerdere beruchte cybercriminele groepen, zoals LockBit, Conti, Qilin, WantToCry en BlackCat/ALPHV. Het dient gezegd te worden dat deze collectieven met elkaar overlappen, dus het is geen verrassing dat de methodiek overeenkomt.
Het ligt voor de hand dat de hackers zelf slechts indirect gebruikmaken van de hostingproviders. Ook al zijn ze bulletproof, het blijft handig voor cybercriminelen om zich te verschuilen achter meerdere tussenpartijen. In dit geval treedt MasterRDP, ook wel rdp.monster, op als aanbieder. De vm’s die men aanbiedt op darkweb-fora, lijken direct aangestuurd te worden door deze partij. Echter leaset MasterRDP vermoedelijk de ISPsystem-vm’s voor hun eigen doeleinden, stelt Sophos.
Vertrouw legitieme tools niet
Cybercriminelen grijpen logischerwijs naar alle middelen die hen kunnen helpen. Dat men legitieme tooling gebruikt, dient niemand te verbazen. Het is wel problematisch voor tooling die met name populair blijkt te zijn bij cyberaanvallen, aangezien het voor de hand ligt voor IT-admins om deze infrastructuur te weren, zelfs bij anderszins vrijzinnig beleid rondom externe internetverbindingen.
Voor cyberverdedigers is het grootschalig gebruik van dezelfde hostnames een klein voordeel. Een verbinding vanuit deze vier specifieke hostnames hoeft niet per definitie verdachte activiteit op te leveren, maar het correleert sterk met de meest beruchte en succesvolle cybercriminele collectieven. Een log waarin één van deze hostnames voorkomt, kan dus zomaar een indicatie zijn van een compromis.